EP0328062B1

EP0328062B1 - Carte à puce à tolérance de défauts

Info

Publication number: EP0328062B1
Application number: EP89102139A
Authority: EP
Inventors: Jackson E. Winslow
Original assignee: Pitney Bowes Inc
Current assignee: Pitney Bowes Inc
Priority date: 1988-02-08
Filing date: 1989-02-08
Publication date: 1994-04-20
Anticipated expiration: 2009-02-08
Also published as: DE68914696T2; EP0328062A2; FR2626991A1; AU2972389A; CH679434A5; JP2922211B2; GB2215888B; EP0328062A3; GB8902765D0; GB2215888A; AU616936B2; FR2626991B1; US4908502A; JPH027184A; DE68914696D1; CA1315408C

Claims

Carte à microprocesseur insensible aux défaillances (10) comprènant :
une interface entrée-sortie standard (12);
des moyens d'horloge (22, 26) pour fournir une référence de temps lors des opérations de la carte à microprocesseur;
des moyens de mémoire principale (16, 18, 20) pour stocker un programme et des informations;
un premier moyen de microcontrôleur (14) relié à ladite interface (12), auxdits moyens d'horloge (22, 26) et auxdits moyens de mémoire principale (16, 18, 20) pour exécuter les fonctions normales de la carte à microprocesseur;
un moyen de microcontrôleur secondaire (30) connecté audit premier moyen de microcontrôleur (14), auxdits moyens d'horloge (22, 26), auxdits moyens de mémoire principale (16, 18, 20) et à un moyen de mémoire secondaire (32) pour exécuter les fonctions normales de la carte à microprocesseur en synchronisme avec ledit premier moyen de microcontrôleur (14);
un moyen (36) de détection d'erreur de microcontrôleur relié audit premier moyen de microcontrôleur (14) et audit moyen de microcontrôleur secondaire (30) afin de détecter une défaillance de l'un ou l'autre dudit premier microcontrôleur ou dudit microcontrôleur secondaire (14, 30); et
un moyen d'alimentation primaire (24) relié audit premier moyen de microcontrôleur (14).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 1, dans laquelle ledit moyen de microcontrôleur secondaire (30) a une consultation seule desdits moyens de mémoire principale (16, 18, 20).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 1, dans laquelle lesdits moyens d'horloge (22, 26) comprennent en outre une horloge primaire (22) et une horloge secondaire (26), ladite horloge secondaire (26) étant reliée à un moyen d'alimentation auxiliaire à batterie (28).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 1, comprenant en outre un registre des comptages d'accès (40) relié audit premier moyen de microcontrôleur (14) et adressé par celui-ci pour fournir une trace historique de l'identité de l'utilisateur et des emplacements en mémoire adressés par des utilisateurs antérieurs.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 1, dans laquelle ladite mémoire secondaire (32) comprend en outre une mémoire morte (32) comportant une programmation pour le passage d'une ou de plusieurs configurations de test connues sur ledit second microcontrôleur (30).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 5, dans laquelle ladite programmation de la mémoire secondaire est activée par ledit moyen (36) de détection d'erreurs de microcontrôleur lors de la détection d'une défaillance de l'un ou l'autre desdits premier ou second moyens de microcontrôleur (14, 30).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 6, dans laquelle, lors de l'indication de la défaillance d'un microcontrôleur par ledit moyen (36) de détection d'erreurs de microcontrôleur, ledit premier microcontrôleur (14) est maintenu à l'état gelé alors que ledit microcontrôleur secondaire (30) fait passer lesdites configurations de test connues.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 7, dans laquelle, dans le cas où il se produit une erreur dans lesdites configurations de test connues, ledit microcontrôleur secondaire (30) est supposé en défaut et ledit premier microcontrôleur (14) peut continuer le traitement.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 7, dans laquelle, dans le cas où il ne se produit pas une erreur dans lesdites configurations de test connues, ledit premier microcontrôleur (14) est supposé en défaut et la défaillance de la carte est indiquée à l'utilisateur.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 9, comportant en outre un moyen de point d'accès privé (44) relié audit second moyen de microcontrôleur (30) pour permettre l'accès d'un service à la carte à microprocesseur insensible aux défaillances (10).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 10, comprenant en outre un registre des fonds restants (38) relié audit second microcontrôleur (30) et relié en outre audit moyen de point d'accès privé (44) et accessible par l'intermédiaire de ce dernier afin d'indiquer la quantité restante des fonds stockés dans la carte à microprocesseur insensible aux défaillances (10).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 10, comprenant en outre un moyen de comptage d'accès (40) relié audit premier moyen de microcontrôleur (14) et relié audit moyen de point d'accès privé (44) et accessible par l'intermédiaire de ce dernier afin de fournir une trace de l'histoire des emplacements en mémoire des identités des utilisateurs adressés par des utilisateurs antérieurs.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 11, dans laquelle ledit microcontrôleur secondaire (30), ladite mémoire secondaire (32), et ledit registre des fonds restants (38) sont reliés à une source d'alimentation auxiliaire à batterie (28).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 12, dans laquelle ledit microcontrôleur secondaire (30), ladite mémoire secondaire (32) et ledit moyen de comptage des accès (40) sont reliés à une source d'alimentation auxiliaire à batterie (28).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 10, comprenant en outre un moyen de bit de contrôle (34) associé à ladite mémoire secondaire (32) pour détecter et circonvenir les défaillances d'un simple bit ou d'un simple trajet à l'intérieur de ladite mémoire secondaire (32).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 1, dans laquelle ledit moyen de détection d'erreur de microcontrôleur (36) comprend en outre une porte "OU" Exclusif (36) recevant avec le signal de sortie de chacun desdits premier et second microcontrôleurs (14, 30), ladite porte "OU" Exclusif (36) étant déclenchée afin de produire un signal d'erreur dans le cas où il se produirait une contradiction entre les signaux de sortie desdits microcontrôleurs.
Carte à microprocesseur insensible aux défaillances (10) comportant :
une interface entrée-sortie standard (12);
des moyens d'horloge (22, 26) pour fournir une référence de temps pendant les opérations de la carte à microprocesseur;
des moyens de mémoire principale (16, 18, 20) pour stocker un programme et des informations;
un premier moyen de microcontrôleur (14) relié à ladite interface (12), auxdits moyens d'horloge (22, 26) et auxdits moyens de mémoire principale (16, 18, 20) pour exécuter les fonctions normales de la carte à microprocesseur;
un moyen de microcontrôleur secondaire (30) relié audit premier moyen de microcontrôleur (14), audit moyen d'horloge (22, 26), auxdits moyens de mémoire principale (16, 18, 20) et à un moyen de mémoire secondaire (32), ledit moyen de microcontrôleur secondaire (30) exécutant les fonctions normales de la carte à microprocesseur en synchronisme avec ledit premier moyen de microcontrôleur (14);
un moyen de détection d'erreur de microcontrôleur (36) relié auxdits premier moyen de microcontrôleur et moyen de microcontrôleur secondaire (14, 30) pour détecter une contradiction entre lesdits premier moyen de microcontrôleur et moyen de microcontrôleur secondaire (14, 30); et
un moyen de point d'accès privé (44) relié audit microcontrôleur secondaire (30) pour fournir un accès privé à la carte à microprocesseur insensible aux défaillances (10).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 17, dans laquelle, lors de la détection d'une erreur par ledit moyen de détection d'erreur de microcontrôleur (36), ledit premier microcontrôleur (14) est maintenu à l'état gelé et ledit microcontrôleur secondaire (30) est libéré desdits moyens de mémoire principale (16, 18, 20) pour faire passer des configurations de test connues sous la direction dudit moyen de mémoire secondaire (32).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 18, dans laquelle, dans le cas où il se produit une erreur pendant lesdites configurations de test connues, ledit microcontrôleur secondaire (30) sera supposé fautif et ledit premier microcontrôleur (14) sera autorisé à poursuivre le traitement.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 18, dans laquelle, dans le cas où il ne se produit aucune erreur pendant lesdites configurations de test connues, ledit premier microcontrôleur (14) est supposé en défaut et un signal de carte défaillante est transmis à l'utilisateur.
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 20, dans lequel ledit point d'accès privé (44) permet l'accès à une information contenue dans lesdits moyens de mémoire principale (16, 18, 20).
Carte à microprocesseur insensible aux défaillances (10) selon la revendication 21, comprenant en outre un registre des fonds restants (38) relié audit microcontrôleur secondaire (30) et audit moyen de point d'accès privé (44) pour stocker une information concernant les fonds disponibles qui restent dans la carte à microprocesseur insensible aux défaillances (10).